Datenschutz im Jugendverband

Seit dem 25 Mai gilt deutschlandweit die europäische Datenschutzgrundverordnung (DSGVO) und bereits seit dem 24. Mai 2018 gilt in den Bistümern ebenfalls das Kirchliche Datenschutzgesetz (KDG).

Info zur DSGVO und dem KDG

Für die meisten Pfarr- und Ortsgruppen der KjG sollte das KDG Anwendung finden und gelten. Unter kirchliches Recht zu fallen, hat Vorteile: Vor allem sind die Strafzahlungen bei Verstößen kleiner. Außerdem kennen sich die Diözesandatenschutzbeauftragten besser mit der Kirche aus, als weltliche Behörden.

Es stellt uns aber auch vor Herausforderungen, da einerseits das KDG ein höheres Datenschutzniveau mit sich bringt und andererseits die Bischöfe in den einzelnen Bistümern Regelungen über das bereits bestehende KDG hinaus treffen können. Konkret heißt dies z.B. dass die Benutzung von WhatsApp, Facebook, Instagram (derzeit) quasi komplett verboten würde, weil der Dienst Daten in den USA speichert und es keinen Anerkennungsbeschluss der EU-Kommission (vgl. § 40 KDG) für das Datenschutzabkommen EU-US-Privacy-Shield gibt, der das behördliche Datenschutzniveau feststellen würde.

Ferner setzt das KDG immer eine schriftliche Einwilligung (mit Unterschrift, digital reicht nicht aus) zur Datenverarbeitung voraus.

Welche weiteren Regelungen in eurem Bistum getroffen worden sind, erfragt ihr am besten direkt bei eurem jeweils zuständigen Datenschutzbeauftragten (https://www.katholisches-datenschutzzentrum.de/).

Um welche Veränderungen geht es?

Welche Daten unterliegen dem Datenschutz? Im Grundsatz geht es bei den neuen gesetzlichen Regelungen darum, alle personenbezogenen Daten besonders zu schützen. Personenbezogene Daten sind alle Angaben, die eine Person identifizierbar machen. Dies gilt sowohl für digitale Daten als auch entsprechende Aufzeichnungen in Papierform.

Personenbezogene Daten sind unter anderem:

  • Name, Alter, Familienstand, Geburtsdatum
  • Anschrift, Telefonnummer, E-Mail Adresse
  • Konto-, Kreditkartennummer
  • Kraftfahrzeugnummer, Kfz-Kennzeichen
  • Personalausweisnummer, Sozialversicherungsnummer
  • Werturteile wie zum Beispiel Zeugnisse
  • Erweiterte Führungszeugnisse
  • Standortdaten
  • Online-Kennungen
  • Ausgaben, die die Gesundheit betreffen
  • Mitgliedsnummer in der MiDa

Darüber hinaus gelten verschärfte Regelungen für Fotografien: generell muss eine Einwilligung der zu fotografierenden Personen vorliegen und es muss transparent gemacht werden, was mit diesen Fotos passiert. Wenn die Personen minderjährig sind müssen sogar die Erziehungsberechtigten der Veröffentlichung jedes einzelnen Fotos ihres Kindes zustimmen!

Darüber hinaus gilt der Grundsatz der Datensparsamkeit, d.h. personenbezogene Daten dürfen nur Personen zugänglich gemacht werden, die sie benötigen. Dabei müssen Angaben, die für eine zeitlich begrenzte Aktivität erhoben werden, nach den vorgesehenen Archivierungsfristen gelöscht werden.

Was gibt es zu tun?

Verarbeitungsverzeichnisse

Was ist ein Verarbeitungsverzeichnis und wofür brauchen wir es?

Das Verzeichnis von Verarbeitungstätigkeiten dient als wesentliche Grundlage für eine strukturierte Datenschutzdokumentation und hilft dem Verantwortlichen (Vorstand und Geschäftsführung) dabei, gemäß Art. 5 Abs. 2 Datenschutzgrundverordnung (DS-GVO) nachzuweisen, dass die Vorgaben aus der DS-GVO eingehalten werden (Rechenschaftspflicht). Es stellt somit ein wesentliches Element für die Etablierung eines umfassenden Datenschutz- und Informationssicherheits-Managementsystems dar.

Im KDG findet sich diese Pflicht in § 31. Das katholische Datenschutzzentrum stellt sowohl ein Muster als auch ausführliche Praxishilfen zur Verfügung. Auch von uns werdet ihr in Kürze ein Muster zum Download auf der Homepage finden.

Wir empfehlen allen, die ein solches Verfahrensverzeichnis noch nicht angelegt haben, mit diesem vor dem 24. Mai anzufangen, und es dann sukzessive zu erstellen.

Wir empfehlen, ein solches Verfahrensverzeichnis bis zum 30. Juni 2019 zu erstellen.

Was sind Technische und organisatorische Maßnahmen?

Technische Maßnahmen beziehen sich auf den Datenverarbeitungsvorgang als solches. Sie bezeichnen alle Maßnahmen, die sich physisch umsetzen lassen, zum Beispiel durch das Installieren einer Zugangs- oder Zugriffskontrolle mittels Passwort.

Organisatorische Maßnahmen beziehen sich auf die Rahmenbedingungen des Datenverarbeitungsvorgangs. Sie umfassen Regeln, Vorgaben und Handlungsanweisungen, die dazu dienen, dass Mitarbeiter den Datenschutz gesetzestreu einhalten.

Technische und organisatorische Maßnahmen solltet ihr bis zum 30. Juni 2019 etabliert haben.

Auftragsdatenverarbeitung

Was bedeutet Auftragsdatenverarbeitung?

Ein Auszug aus der Praxishilfe 04 des katholischen Datenschutzzentrums definiert die Auftragsdatenverarbeitung wie folgt:

„Geregelt ist die Auftragsverarbeitung künftig in § 29 KDG, der sich an die Bestimmung in Art. 28 der Datenschutzgrundverordnung (DS-GVO) anlehnt. Wie bereits in der noch geltenden KDO wird weiterhin der Auftragnehmer nicht als „Dritter“ bei der „Offenlegung“ personenbezogener Daten (frühere Bezeichnung: „Datenübermittlung“) angesehen. Nach der Definition des Begriffs in § 4 Nr. 12 KDG ist „Dritter“ jede natürliche oder juristische Person, soweit es sich bei ihr nicht um den Betroffenen selbst, den Verantwortlichen oder einen von ihm/ihr eingeschaltete/n Auftragsverarbeiter/in handelt. Die/Der Auftragsverarbeiter/in ist also insoweit privilegiert, als eine Offenlegung der Daten an ihn ohne Prüfschranken erfolgen kann. Der Dienstleister wird also im „Innenverhältnis“ für den Verantwortlichen tätig.“

Ausführlich erklärt werden die sogenannten Privilegien u.a. in der o.g. Praxishilfe. Kurz kann man sagen:

Eine Vereinbarung zur Auftragsdatenverarbeitung müsst ihr mit allen Anbietern schließen, die mit euren Daten arbeiten. Das sind etwa externe Versandanbieter für Newsletter, Anbieter von Mailinglisten, Google Analytics o.ä. Bitte fragt dort an, wo die Server stehen, auf denen die Daten gespeichert werden. Es macht juristisch einen großen Unterschied, ob sie in oder außerhalb der EU stehen.

Verträge zur Auftragsdatenverarbeitung solltet ihr bis zum 31. Dezember 2019 geschlossen haben.

Hier findet ihr weiter unten eine gute Zusammenfassung der Rechtslage, sowie eine gut nutzbare Checkliste.

Wichtig: Personenbezogene Daten dürfen nie ohne die Einwilligung der betroffenen Personen an Dritte weitergegeben werden.


Nach oben